2022年网络安全事件十大处罚
网络安全事件,尤其是大规模数据泄露和违规事件,不但给企业带来巨额财务和品牌损失,导致客户信任流失,同时也意味着来自监管部门的巨额罚单以及包括安全整改、停业整顿和吊销营业执照在内的严厉处罚。
2022年,随着各国网络安全法规的不断健全,对数据泄露事件的处罚愈加严厉,以下我们整理了2022年的十大网络安全处罚:
一、滴滴违反网络安全法规被罚12亿美元(80亿元)
7月21日,国家互联网信息办公室对滴滴处以人民币80.26亿元罚款,对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
据国家网信办通报,滴滴公司违反《网络安全法》(2017年6月实施)、《数据安全法》(2021年9月实施)、《个人信息保护法》(2021年11月实施)的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。经查明,滴滴公司共存在16项违法事实。
滴滴过度采集和滥用的信息包括但不限于:
- 违法收集用户手机相册中的截图信息1196.39万条;
- 过度收集用户剪切板信息、应用列表信息83.23亿条;
- 过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
- 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
- 过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
- 在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条。
根据国家网信办通报,滴滴公司还存在严重影响国家安全的数据处理活动,拒不履行监管要求,给国家关键信息基础设施安全带来严重安全风险隐患。
二、T-Mobile为数据泄露事件支付3.5亿美元
今年8月初,美国移动通信巨头T-Mobile同意支付2021年大规模数据泄露事件后的索赔、法律费用和管理费用,共计支付3.5亿美元。该数据泄露事件暴露了估计7600万人的个人信息,包括客户名称,社会保险号,电话号码,地址和出生日期。
除向受影响客户的现金支付外,T-Mobile还同意投资1.5亿美元来加强其数据安全。
三、OPM被罚6300万美元
美国个人管理办公室(OPM)是一家为联邦政府雇员提供人力资源的联邦机构,2015年,OPM披露遭遇一系列国家黑客组织攻击,导致了近2200万人的个人数据泄露。
7月5日,OPM同意为上述近十年前发生的数据泄露事件支付6300万美元。
众议院委员会对OPM黑客攻击事件进行的调查显示,OPM最早的已知数据泄露发生在2013年11月,该机构的系统至少自2005年以来很容易受到黑客袭击。该报告还指出,数据泄露是一种(安全)文化缺失和领导失败的结果。
四、摩根士丹利支付3500万美元罚款
今年9月,跨国银行业务巨头摩根士丹利因未能安全更换公司硬盘驱动器和服务器而被SEC罚款3500万美元,该事件导致了大约1500万客户的个人数据泄露。从2015年开始的五年中,该银行不当处理了数千份包含个人身份信息(PII)的设备,并且在互联网拍卖网站上的第三方转售了一些设备,但未检查设备中的客户数据是否已删除。
摩根士丹利(Morgan Stanley)为该事件的罚款和数据安全诉讼赔偿总计支付了大约1.2亿美元。
五、Solarwinds为供应链攻击集体诉讼支付2600万美元
根据10月28日美国SEC公布的文件,总部位于美国的IT管理解决方案提供商Solarwinds与软件供应链攻击受害者的集体诉讼达成和解协议,将支付2600万美元。这次攻击影响了全球数千名Solarwinds的客户,包括网络安全公司FireEye和多个美国政府机构,例如国土安全部和财政部。美国政府将黑客归因于俄罗斯军事黑客。
和解协议仍然需要得到法院的批准。除此之外,Solarwinds还因“网络安全披露和公共声明及其内部控制和披露控制和程序”面临联邦当局的执法行动。
六、教育技术提供商Chegg因多次数据泄露遭FTC起诉
上周,美国联邦贸易委员会(SEC)就LAX数据安全实践提出了对教育技术供应商Chegg的投诉。自2017年以来,该公司发生了四次数据泄露,大约4000万客户和员工暴露了个人信息。
Chegg在2017年9月首次遭到入侵,源于针对多名员工的钓鱼攻击;2018年4月,某前承包商使用登录信息访问了包含数百万用户数据的存储桶;一年后,Chegg某高管的凭据在一次钓鱼攻击中被盗导致数据泄露;又过了12个月,另一名Chegg员工遭到钓鱼攻击。FTC投诉称,这些泄露事件都是若干不良的数据安全实践的结果。
FTC要求Chegg加强其数据安全性,限制其可以收集和保留的数据,为用户提供多因素身份验证以保护其帐户,并允许用户访问和删除其数据。
七、Meta因违反数据安全法规被罚款1700万欧元
3月15日,爱尔兰数据保护委员会(DPC)宣布,Facebook的母公司Meta因一系列的历史数据泄露事件违反《通用数据保护条例》(GDPR),将被罚款1700万欧元(约合人民币1.18亿元)。
DPC在声明中表示,在对Facebook在2018年6月7日-2018年12月4日期间收到的12个数据泄露通知进行调查后作出的上述决定。经调查,Facebook的母公司Meta违反了GDPR第5(2)和24(1)条,未能证明其为保护欧盟用户的数据安全采取适当的技术和措施。此外,DPC强调,该决定代表了DPC和欧盟的对应监管机构的集体意见。
八、Cosmote因2020年数据泄露事件被罚款600万欧元
今年2月,希腊最大的移动运营商Cosmote因在数据泄露事件后违反数据保护法被希腊数据保护局(HDPA)罚款600万欧元。2020年该公司受到网络攻击,480万客户个人数据被盗。
监督机构发现,Cosmote没有将其母公司OTE Group包括在调查中,也没有实施足够的数据保护政策和程序。
OTE集团还因缺乏适当的安全措施导致订户呼叫数据泄漏而被罚款325万欧元。
九、西班牙沃达丰接到“背靠背”罚单,支付394万欧元
继2021年因不当处理个人数据被西班牙数据保护局(AEPD)罚款815万欧元后,2022年西班牙移动电信运营商沃达丰(VodafoneEspaña)西班牙再次接到AEPD 394万欧元的罚单,理由是未能采取适当的安全措施以防止SIM卡欺诈复制(SIM交换)。AEPD发现沃达丰采取的安全措施不足,并且该公司没有实施有效的GDPR合规性和管理模型来最大程度地减少身份盗用的风险。
十、法国Dedalus Biologie因大规模健康数据泄露被罚款150万欧元
法国公司Dedalus Biologie是一家医学分析实验室软件解决方案提供商,其客户涉及约3000个私人医学生物学实验室、30到50个公共卫生机构的分析实验室。该公司在2021年的数据泄露事件中暴露了近50万人的健康信息。
经法国数据保护局(CNIL)调查,Dedalus作为数据处理者违反了GDPR规定的多项义务,特别是个人数据安全保护义务。CNIL下设处罚机构审查委员会根据Dedalus的营业额以及违规行为的严重程度,最终于2022年4月15日对其作出罚款150万欧元的处罚决定。